Cyberprzestępcy koncentrują się na stosunkowo prostych atakach, które nie wymagają przełamywania zabezpieczeń dobrze przygotowanych organizacji.

Zarzucają swoje sieci szeroko, licząc, że atak nakierowany na większą liczbę potencjalnie gorzej przygotowanych i niespodziewających się tego ofiar przyniesie lepsze efekty. Przykładem jest przeprowadzona w ostatnich tygodniach kampania phishingowa, w której do uwiarygodnienia ataku zostały wykorzystane marki renomowanych polskich i zagranicznych kancelarii. Dziś podpowiadamy, jak się bronić przed cyberatakami.

We wspomnianej sprawie sprawcy podszyli się pod kancelarie, preparując fałszywe wiadomości informujące o rzekomym naruszeniu praw autorskich i możliwości podjęcia dalszych kroków prawnych. Zrobili to bez przełamywania jakichkolwiek zabezpieczeń lub nieautoryzowanego dostępu do wewnętrznych systemów. Do wysyłania oszukańczych wiadomości wystarczyło założenie setek zwykłych kont gmail. Wychodzące z nich wiadomości miały wyłudzić od ofiar ich dane osobowe, a przy okazji zainstalować złośliwe oprogramowanie, które mogło stanowić wstęp do poważniejszych ataków.

W ubiegłym roku w podobnej serii ataków została wykorzystana kancelaria Latham Watkins (a konkretnie jej paryskie biuro), a jeszcze wcześniej – w 2017 r. – nowojorska kancelaria Debevoise & Plimpton.

Uwaga! Kampanie phishingowe są jednym z najbardziej rozpowszechnionych rodzajów cyberincydentów w Polsce i na świecie. W ubiegłym roku CERT Polska (działa w strukturach NASK – Państwowego Instytutu Badawczego) zarejestrował prawie 42,5 tys. tego typu incydentów, co stanowiło ponad połowę wszystkich cyberataków zarejestrowanych w 2023 r. Cyberprzestępcy podszywali się m.in. pod firmy świadczące usługi masowe, tj. PKP Intercity, czy instytucje publiczne, tj. Straż Miejską m.st. Warszawy albo Urząd Zamówień Publicznych.

Naruszenie praw autorskich?

Jak wglądały ostatnie ataki? Wiadomości wysyłane przez przestępców na pierwszy rzut oka wydawały się wiarygodne. Ich nadawcy podawali się za daną kancelarię, pisząc np.: „Jesteśmy z kancelarii XYZ. Nasz klient upoważnił nas do powiadomienia Państwa o nieautoryzowanym wykorzystaniu chronionych prawem autorskim treści naszego klienta”. Dalsza treść była ukierunkowana na wyłudzenie od odbiorcy danych osobowych: „Zgodnie z przepisami dotyczącymi praw autorskich, prosimy o natychmiastowe usunięcie naruszających prawo treści i zapobieżenie ponownemu ich publikowaniu. Prosimy o usunięcie tych treści w ciągu 48 godzin od otrzymania tego zawiadomienia. Jeśli uważają Państwo, że zgłoszenie jest błędne, prosimy o kontakt w ciągu 24 godzin, abyśmy mogli przeprowadzić dalsze dochodzenie. Proszę dostarczyć następujące informacje do oceny:

1) Imię i nazwisko oraz dane kontaktowe

2) Szczegóły dotyczące rzekomo naruszającej treści

3) Dowody na posiadanie treści lub uprawnienie do ich publikacji

Po 48 godzinach przygotujemy dokumenty prawne i podejmiemy kroki zgodne z prawem w celu ochrony praw i mienia naszego klienta”.

Co kluczowe, w niektórych wiadomościach link prowadzący rzekomo do formularza, w którym ofiary miały udostępnić swoje dane osobowe, odsyłał do złośliwego oprogramowania typu stealer, które pozwalało sprawcom przejąć kontrolę nad urządzeniem użytkownika oraz ukraść jego hasła dostępowe. Dopiero uważniejsza lektura wiadomości pozwalała stwierdzić, że w istocie nie pochodzi ona od kancelarii (np. w nagłówku wiadomości została wskazana siedziba kancelarii sprzed lat, nieprawidłowe były również adresy e-mail.

Kluczowe działania

Najlepsza i najprostsza rada w przypadku wiadomości pochodzących z nieznanych źródeł to: zachować ostrożność. Jeśli dostaniesz wiadomość, która z pozoru została wysłana przez wiarygodną instytucję, ale jednak wzbudza wątpliwości, zweryfikuj to, kontaktując się z jej przedstawicielami dzięki publicznie dostępnym danym kontaktowym (np. przez wyszukiwarkę Google’a, a nie tym wskazanym w samej wiadomości). I nie otwieraj załączników ani nie klikaj w linki.

Z kolei podmioty, które staną się celem kampanii phishingowej mogą:

  • zgłosić do Google’a zidentyfikowane adresy gmail wykorzystane do ataku, wskazując, że wymienione adresy, zarejestrowane w domenie gmail.com, są używane w przestępnych celach (jeśli administrator domeny stwierdzi nieprawidłowości, może ją zamknąć, co uniemożliwi cyberprzestępcom jej dalsze wykorzystanie w nielegalnych celach);
  • zawiadomić o możliwości popełnienia przestępstwa organy ścigania właściwe dla siedziby firmy;
  • przekazać informację o kampanii phishingowej zespołom reagowania na incydenty CERT Polska – organizacja ma na swojej stronie specjalną zakładkę do zgłaszania podejrzanych adresów e-mail, wraz ze szczegółową instrukcją;
  • przeprowadzić wewnętrzną kontrolę systemów informatycznych, aby wykluczyć ryzyko nieautoryzowanego dostępu do nich lub autentycznej domeny. ©℗